התגלה גל תקיפות איראניות נגד ישראל, שגבר מתחילת המלחמה

תיראו מופתעים: מאז תחילת המלחמה, איראן מעלה הילוך במתקפות הסייבר שלה נגד ישראל – לפחות בסדרה אחת של תקיפות. זה לא משהו שקשה לנחש, אבל כעת יש ממצאים מחקריים שמוכיחים זאת: חוקרי Unit 42 (יחידה 42), מודיעין האיומים של פאלו אלטו, חשפו סדרה של מתקפות סייבר הרסניות שהגיעו מאיראן, שהחלו בינואר השנה וקיבלו תאוצה בחודש האחרון. לאנשים ומחשבים נודע כי ההאקרים האיראנים תקפו, או ניסו לתקוף, יותר מתריסר מוסדות וארגוני חינוך בישראל בשנה החולפת. זאת, בנוסף למתקפה איראנית שבוצעה השנה נגד הטכניון.

לפי החוקרים – אור צ'צ'יק, תום פקטרמן, דניאל פרנק ואסף דהן – המתקפות נועדו לגנוב נתונים רגישים, כגון מידע אישי מזוהה (PII), כמו גם סודות מסחריים וקניין רוחני.

המחקר העלה שברגע שהתוקפים גנבו את פרטי המידע, הם פרסו "מגבים" שונים, שנועדו להסתיר את עקבותיהם, ו-"על הדרך" להפוך את תחנות הקצה הנגועות של קורבנות המתקפה לבלתי שמישות.

"התקיפות התגברו מאז פרוץ המלחמה באוקטובר, בניסיון לגנוב פרטים מזהים על ישראלים, לפרסם אותם ולמחוק מאגרי נתונים", ציינו החוקרים.

"נחשים מייסרים"

בפאלו אלטו יודעים לספר שלמבצעי התקיפה "יש קשר חזק לקבוצת ה-APT בגיבוי איראני 'נחשים מייסרים' (Agoniznig Serpens), שמזוהה גם כ-BlackShadow ,Agrius ,Pink Sandstorm או DEV-0022.

זו קבוצה שפעילה כבר מ-2020, וידועה בפעילותה ההרסנית למחיקת מידע (Wiper) ולהפצת תקיפות כופר מזויפות. היא מכוונת בעיקר לארגונים ישראליים בתעשיות רבות. בין היתר, היא הייתה אחראית לפריצה לאתר הדייטינג לקהילה הגאה אטרף.

במחקר צוין כי "לתקיפות של ה-'נחשים המייסרים' יש שתי מטרות מרכזיות: גניבת מידע רגיש וגרימת נזק משמעותי באמצעות מחיקת כמה שיותר נקודות קצה". לדבריהם, "בתקיפות גנבו פושעי הסייבר מידע רגיש שכולל מידע אישי מזהה (PII) – מספרי זהות, סריקות דרכונים, דואר אלקטרוני וכתובות מלאות, וכן נכסים אינטלקטואליים, ופרסמו אותם ברשתות החברתיות, כולל בערוצי טלגרם. זאת, על מנת לזרוע פחד ולייצר נזק למוניטין של הקורבנות".

החוקרים ציינו כי "הקבוצה שדרגה את יכולותיה, ושמה דגש על טכניקות גניבה ופלישה שמטרתן לעקוף פתרונות אבטחה כמו טכנולוגיית EDR". הם עשו זאת במגוון הונאות, למשל הצגת הכלים ככאלה הבוחנים לכאורה היתכנות (PoC), כלי בדיקה וכן כלים מותאמים אישית.

"מגבים-מוחקים"

החוקרים זיהו כלים חדשים בארגז הכלים של הקבוצה, שכוללים סט של שלושה "מגבים-מוחקים" שלא תועדו קודם לכן, ומטרתם למחוק את עקבות הפעולות שלה, כמו גם כלי לחילוץ מידע ממאגרי נתונים מבוססי SQL. כלי המחיקה החדשים שהחוקרים זיהו הם מגב רב שכבתי, מגב PartalWasher, מגב BFG Agonizer וכן Sqlextractor – כלי מותאם אישית לחילוץ מידע משרתי בסיס הנתונים.

לפי החוקרים, פעמים רבות ההאקרים הציגו את המתקפות ככופרות, אולם אלה התבררו כתחבולה: בתקיפות האחרונות, התוקפים לא ביקשו דמי כופר. "במקום זאת", נכתב, "התוצאה הפוטנציאלית של המתקפות הייתה אובדן נתונים עצום ושיבושים בתפקוד הארגונים, כמו גם פגיעה בהמשכיות העסקית שלהם… לאחר קצירת הנתונים, הם נהגו לפרסם את דבר המתקפות במדיה חברתית, כולל בערוצי טלגרם. עוד הם רצו לזרוע הרס ולהסב נזק ניכר על ידי פגיעה בכמה שיותר תחנות קצה".

באמצעות למידת מכונה, הטכנולוגיות של פאלו אלטו בנו פרופילים התנהגותיים של פעילות משתמשים לאורך זמן. זאת, על מנת לזהות פעילות חריגה המעידה, למשל, על תקיפות מבוססות אישורים.

"עליית מדרגה ביכולות התקיפה של האיראנים"

אסף דהן, ראש קבוצת מחקר איומי סייבר בפאלו אלטו, אמר כי "אנחנו עדים לעליית מדרגה ביכולות התקיפה של האיראנים – הן מבחינת התדירות והתחכום, והן בהתמקדות במתקפות הרסניות שכוללות מצד אחד גניבת מידע מחברות ומוסדות ישראליים, ומהצד השני ניסיונות נחושים לזרוע הרס ושיתוק המרחב הדיגיטלי".

החוקרים סיכמו בכתבם כי "בהתבסס על מודל הייחוס שלנו, אנחנו מעריכים ברמת ביטחון גבוהה כי המתקפות המתוארות בוצעו על ידי קבוצת ה-'נחשים המייסרים', שקשורה לאיראן. ההערכה מתבססת על קווי דמיון מרובים שנמצאו במגבים; על דמיון בשורות קוד של ה-'מעטפות' שהכילו את הנוזקות; על אופי הרס של המתקפות: השלב האחרון של המתקפות מיישם מדיניות של 'אדמה חרוכה', תוך שימוש במגבים מותאמים אישית כדי להשבית את תחנות הקצה של הארגון הקורבן; ועל הסוואת העקבות של התוקפים. כל אלה תואמים את כל הדיווחים הקודמים על פעילות הקבוצה. מערך הטלמטריה שלנו לא זיהה ארגונים שאינם מישראל שניזוקו מפעילות הקבוצה, משמע – מטרתה היא להתמקד ולפגוע באופן פרטני בארגונים ישראליים בכלל, ובארגוני היי-טק ומוסדות חינוך ישראליים בפרט".

מתקפה על הטכניון

אחת ממתקפות הסייבר האיראניות הבולטות על גוף ישראלי השנה הייתה זו שבוצעה על הטכניון. המתקפה בוצעה בחודש פברואר ומלוא היקפה התגלה חודש לאחר מכן, במרץ, בעקבות חקירה משותפת של מערך הסייבר הלאומי והמוסד האקדמי. החקירה העלתה שהמתקפה נעשתה על ידי קבוצת MuddyWater, שפועלת תחת גוף במשרד המודיעין והביטחון האיראני (MOIS), שמהווה זרוע של מנגנון הביטחון שמתמקדת במעקב פנימי אחר מתנגדי המשטר ופעילים נגד המשטר בחו"ל.

מהמערך נמסר אז כי "לקבוצה יוחסו מתקפות רבות בעולם". חקירה העלתה כי היא השתמשה בנוזקה המיועדת להצפנה של מערכות הפעלה.

חוקרי אבטחה ציינו בעבר כי קבוצת MuddyWater פעלה ופועלת נגד יעדים במזרח התיכון, וככל הנראה הצליחה לפגוע בספקית שירותי אבטחה. הקבוצה תקפה עם דלתות אחוריות מבוססות כלי קוד פתוח, בין השאר יעדים במצרים ובסעודיה. עוד היא תקפה חברה תעשייתית בישראל.

שרה ג'ונס, אנליסטית בכירה למודיעין איומים במנדיאנט, כיום מבית גוגל, אמרה בעבר כי "איראן מפעילה צוותים רבים המבצעים ריגול בסייבר, מתקפות סייבר ופעולות לאיסוף מודיעין ומידע. שירותי הביטחון שנותנים חסות לשחקנים האלה, ה-MOIS ומשמרות המהפכה, משתמשים בהם כדי להשיג דריסת רגל במערכות המחשוב של היריבים והמתחרים של איראן בכל רחבי העולם".

הטכניון. צילום: דוברות הטכניון, מתוך ויקיפדיה

בעקבות המתקפה נגד הטכניון, אנשי המחשוב של המוסד האקדמי השביתו את מערכות ה-IT שלו באופן יזום. עם היוודע דבר המתקפה, לא הייתה ברורה מידת הפגיעה בתפקוד מערכות ה-IT של הטכניון, אולם לפחות חלקן לא עבדו.

קבוצת התוקפים הסתתרה תחת השם Darkbit, והסבירה שהיא תקפה את הטכניון "בגלל מדיניות האפרטהייד של ישראל". במייל הדרישה לתשלום כתבו ההאקרים כי "משטר האפרטהייד נדרש לשלם על השקרים והפשעים שלו, כמו גם על הכיבוש ופשעי המלחמה וכן על ההרג של אנשים – לא רק פלסטינים, אלא גם נשמות של הישראלים".

בהודעת התביעה לתשלום דמי הכופר, הפצחנים האיראניים דרשו 80 מטבעות ביטקוין – סכום שווה ערך לשישה מיליון שקלים, שישולמו בתוך 48 שעות.

כבר אז מומחים ציינו כי ברור שעילת המתקפה היא אידיאולוגית-לאומנית ולא פלילית. אחרים הזכירו שבלא מעט פעמים, הדרישה לתשלום שימשה הסוואה לפעילות לאומית בחזות פלילית.